La Cnil irlandaise est critiquée pour son manque de fermeté envers les géants du numérique qui ont leur siège européen dans le pays. Pour une association de défense des libertés, le règlement européen qui protège nos données personnelles (le RGPD) n’est tout simplement pas appliqué aux Big Tech.
La Cnil irlandaise est-elle trop complaisante vis-à-vis des géants du numérique ? C’est ce que pense l’ONG irlandaise Irish Council for Civil Liberties (ou ICCL) qui exige des sanctions plus fortes face aux Big Tech. Pour cette association, le RGPD, le règlement qui protège les données personnelles des citoyens européens en vigueur depuis plus de cinq ans, n’est tout simplement pas appliqué aux Gafam. L’UE ne contrôlerait pas l’utilisation de nos datas par les grandes entreprises technologiques, notre vie privée ne serait tout simplement pas assez protégée, écrit-elle dans un rapport publié ce lundi 15 mai. En cause : la « Data Protection Commission » (ou DPC), la Cnil irlandaise, sorte de gendarme des données personnelles européen, décrite comme un « goulot d’étranglement des procédures », note l’association. En d’autres termes, la DPC serait encore le maillon faible du RGPD.
Cette autorité est chargée de vérifier, au nom de l’UE, si tous les géants du numérique qui ont leur siège européen en Irlande respectent bien le RGPD. Parmi eux, on trouve Google et YouTube, les sociétés d’Alphabet, les réseaux sociaux de Meta comme Facebook, Instagram, WhatsApp, Apple, TikTok et enfin Microsoft. En cinq ans, l’association note que cette Cnil s’est penchée sur 54 dossiers. Dans huit cas seulement, des amendes ont été décidées – et pour six décisions sur huit, le montant des sanctions pécuniaires a été jugé si faible qu’il a été retoqué par le Comité européen de la protection des données (CEPD). Cet organisme, qui réunit l’ensemble des 27 Cnils de l’UE, peut imposer aux autorités locales le fait de rehausser les amendes si elles lui paraissent trop faibles. Et il ne se serait pas gêné pour le faire à six reprises, explique l’association.
Pour 83 % des cas, des accords à l’amiable, selon l’ONG
Dernier exemple en date : en janvier dernier, Meta a par exemple été contraint de payer une amende record de 390 millions d’euros – la DPC avait prévu initialement environ 39 millions d’euros, soit 10 fois moins. Dans les 46 autres cas, la procédure s’est conclue par des accords à l’amiable – ce qui représente près de 83 % des dossiers reçus. L’ONG appelle le commissaire européen à la justice, Didier Reynders, à « prendre des mesures sérieuses » pour faire appliquer les lois sur les données personnelles dans toute l’Union européenne. Pour le Dr Johnny Ryan, cité dans le communiqué de l’ONG, « l’incapacité de l’Europe à faire appliquer le RGPD expose tout le monde à un risque aigu à l’ère numérique ». Il ajoute : « L’UE ne peut pas être une superpuissance réglementaire si elle n’applique pas ses propres lois ».
À lire aussi : Digital Services Act : l’Europe avance lentement mais sûrement dans sa mise au pas des géants de la tech
Ce n’est pas la première fois que la Cnil irlandaise est critiquée. En 2021, la même ONG irlandaise avait déjà rendu un rapport acerbe, déplorant le manque d’efficacité de cette autorité qui, à l’époque, n’avait instruit que 2% des dossiers qui lui avaient été soumis. Était notamment en cause le sous-dimensionnement de cette Cnil, dont les effectifs et le budget ne permettaient pas de faire face à des géants comme Microsoft ou Google. Outre son manque d’efficacité, son absence de fermeté vis-à-vis de ces sociétés était déjà relevée.
Mais pour Helen Dixon à la tête de la Cnil irlandaise, cette accusation est sans fondement. En mars dernier, elle avait par exemple défendu son bilan de 2022 en publiant le rapport annuel de l’année. Elle avait expliqué avoir conclu 17 enquêtes à grande échelle l’année dernière, imposant en tout des amendes record de plus d’un milliard d’euros.
Source :
Rapport de l’ONG irlandaise Irish Council for Civil Liberties